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分 布 式 SOM 结合 K- 均 值 聚 类 的 软件 定义 网 络 泛 洪 攻击 检测 方法 
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摘 要 : 针对 软件 定义 网 络 (SDN) 泛 洪 攻击 导致 的 上 层 性 能 瓶颈 和 过 载 问题 ， 提 出 一 种 分 布 式 自 组 织 了 映射 (DSOM) 
结合 开 - 均 值 聚 类 的 网 络 流量 攻击 检测 方法 。 首 先 ， 位 于 应 用 层 的 DSOM 控制 器 将 现 有 数据 集 发 送 给 集成 了 DSOM 扩 
展 包 的 交换 机 ， 在 每 个 交换 机 上 分 别 训练 DSOM 映射 ; 然后 ， 在 预定 时 间 内 合并 DSOM 映射 ; 最 后 ，DSOM 控制 器 
将 合并 后 的 DSOM 映射 发 送 到 所 有 OpenFlow 交换 机 ， 利 用 开 - 均 值 聚 类 完成 最 终 的 分 类 。 实 验 结 果 表 明 ，DSOM 方案 
能 够 有 效 检测 异常 流量 、 解 决 瓶颈 问题 ， 相 比 传统 方法 具有 一 定 的 优势 。 此 外 ， 提 出 的 方法 提高 了 系统 对 攻击 流量 的 
反应 速度 ， 同 时 给 网 络 系统 带 来 较 小 的 开销 。 
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Software-defined network flooding attack detection method based on 
distributed SOM and K-means clustering 
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Abstract: Aiming at the problem of performance bottleneck and overload in upper layer caused by software-defined network 
flooding attacks, this paper proposed a software-defined network flooding attack detection method based on distributed SOM 
and k-means clustering. The DSOM controller at the application layer first sent the existing data set to the switch which had the 
DSOM extension package integrated and it trained the DSOM mapping on each switch. Then, it consolidated the DSOM 
mapping within a predetermined time. Finally, the DSOM controller sent the merged DSOM mapping to all OpenFlow switches 
and used k-means clustering to complete the final classification. Experimental results show that the DSOM scheme can 
effectively detect abnormal traffic and solve bottleneck problems, which has certain advantages over traditional methods. In 
addition, the proposed method improves the response speed of the system to attack traffic and at the same time it brings less 
overhead to the network system. 
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和 应 用 程序 的 资源 分 配 ,，SDN 控制 器 自然 而 然 成 为 性 

男 外 ， 在 流量 大 的 情况 下 ， 数 据 层 与 控制 层 之 间 的 通信 通 

软件 定义 网 络 (software defined network，SDN) 中 是 一 种 。 道 可 能 也 会 成 为 瓶 贷 ， 使 得 延 迟 增加 并 且 会 阻碍 到 应 用 层 的 流 
优秀 的 网 络 架构 模型 。 在 SDN 中 , 控制 层 和 数据 层 的 分 离 为 网 。” 量 BJ]。 因 此 ， 许 多 研究 人 员 为 大 型 软件 定义 网 络 引入 了 多 个 控 
络 运营 商 在 流量 管理 方面 带 来 了 巨大 的 好 处 。OpenFlow 协议 争 制 器 ， 比 如 谷歌 的 B4 网 络 外 等 。 在 遇 到 泛 洪 攻击 或 分 布 式 拒 旨 
是 SDN 中 的 一 个 主要 组 件 ， 它 是 SDN 控制 器 和 OpenFlow 交 ”服务 (DDoS) 攻击 564 时 ， 上 述 问 题 将 成 为 大 型 SDN 架构 的 严 
换 机 之 间 的 通信 者 。SDN 控制 器 使 用 OpenFlow 协议 ， 根 据 安 。 重 缺 陷 ， 它 会 发 送 极 大 量 的 网 络 流量 到 受害 者 系统 ， 以 便 耗 尽 
全 和 路 由 策略 等 网 络 业务 指令 ， 配 置 和 更 新 OpenFlow 交换 机 资源 并 降低 公共 服务 的 质量 。 因 此 , 位 于 SDN 架构 上 层 的 安全 
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内 部 的 流 表 。 应 用 需要 处 理 大 量 的 流量 信息 ， 由 于 资源 枯竭 和 性 能 瓶 贷 ， 系 
在 OpenFlow 交换 机 数量 较 多 的 大 型 网 络 中 ， 由 于 安全 服 。 统 可 能 会 崩溃 。 因 此 ， 在 大 型 SDN 模型 中 ， 高 流量 情况 下 ， 为 
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实际 上 最 佳 匹配 单元 将 根据 下 面 的 步骤 b) 中 的 计算 公式 来 移动 。 
在 算法 的 第 ; 次 迄 代 中 ，o(1) 计算 公式 为 


No(1) Rxexp -5 t=]L,...,N (3) 
组 织 映 射 算法 的 主要 步骤 如 下 : 

a) 初始 化 。 用 随机 值 或 固定 值 初 始 化 神经 元 的 m 维权 重 : 
W =[Wi,Wo Wa Wi,]， 其 中 1<i<s。 

b) 选择 最 佳 匹 配 单 元 (BMU )。 输 入 向 量 
A ee 通过 计算 输入 向 量 到 所 有 神经 元 ;的 欧 
几 里 得 距离 D，， 从 而 把 输入 向 量 馈送 到 映射 中 。 

D,, (4) 

为 输入 向 量 选择 距离 D， 最 小 的 神经 元 作为 最 佳 匹配 单 


元 。 
c) 更 新 BMU 的 近邻 权重 : 按照 等 式 (3) 计算 BMU 的 近 
邻 。 之 后 ， 根 据 以 下 等 式 调 整 这 些 近邻 的 权重 ， 进 行 下 一 次 迭 


代 ， 以 使 它们 更 接近 输入 向 量 。 
页 (+D= 克 (+ZE(DxO(O*(Oc (1) -WO)) (5) 
其 中 : L(1) 是 学 习 率 ， 随 着 时 间 的 推移 也 会 衰减 ， 计 算 公 式 为 
t 
=L, +* 二 二 0 
L(t)=L, | | (6) 


QU 是 邻近 神经 元 与 BMU 的 距离 对 其 学 习 的 影响 量 , 定 
义 为 
ot i 0) 
(op[- 2 
d) 循环 ， 重复 步骤 (b) c)， 直 到 没有 更 多 的 输入 向 量 合 
送 到 映射 。 


1.4 SDN 视角 下 的 泛 洪 攻击 

在 传统 的 网 络 架构 中 ， 泛 洪 攻 击 一 般 分 为 两 类 : 带宽 
攻击 和 资源 耗 尽 攻击 。 在 带宽 耗 尽 攻击 中 ， 攻 击 者 往往 用 
欢迎 的 流量 淹没 受害 者 网 络 ， 目 的 是 耗 尽 受害 者 网 络 的 带宽 。 
这 导致 正常 流量 害 者 系统 , 如 ICMP 泛 洪 \UDP 
泛 洪 或 Smurf 和 Fraggle 攻击 等 。 在 资源 耗 尽 攻击 中 ， 攻 击 者 
希望 将 异常 IP 数据 包 或 误 用 的 网 络 协议 数据 包 发 送 给 受害 者 。 
因此 ， 每 当 开 放 连 接 的 数量 达到 系统 阔 值 时 ， 受 害 者 网 络 就 会 
遭受 资源 耗 尽 ， 并 可 能 停止 工作 [1。 
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在 大 规模 软件 定义 网 络 中 ， 为 了 处 理 网 络 系统 受到 泛 洪 攻 
击 时 的 性 能 瓶颈 问题 ， 引 入 了 基于 聚 类 算法 的 分 布 式 SDN 系 
统 。 图 1 显示 了 所 提出 的 系统 概览 , 所 有 交换 机 都 在 SDN 控制 
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器 的 控制 下 运行 。 在 应 用 层 中 , 放置 一 个 叫做 DSOM 控制 器 的 作 原 理 一 样 ， 流 量 收集 器 周期 性 地 向 交换 机 数据 层 发 送 统计 
应 用 程序 来 控制 DSOM 操作 。 消息 ， 以 在 特征 提取 阶段 获取 单独 的 流量 信息 ， 该 阶段 侧重 于 

应 用 层 负载 均衡 占 | | 访问 控制 | [DS0W 摊 制 器 | [ 拓 扩 管理 器 通过 交换 机 的 每 个 用 户 的 特征 提取 。 此 外 ， 由 特征 提取 器 的 输 
7 出 更 新 训练 数据 库 , 并 且 在 由 DSOM 交换 机 代理 设置 的 时 间 段 
1 里 > 、 公 
控制 导 空 仙 器 内 再 次 调用 训练 DSOM 映射 过 程 。 这 种 训练 使 DSOM 了 映射 能 
和 (NOX、POX、Floodlight 等 ) 、 a 、 
够 适应 即将 到 来 的 流量 , 并 提高 了 每 个 本 地 DSOM 交换 机 的 分 
xs | 类 性 能 。 
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1 DSOM 扩 展 模块 | 
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图 1 提出 的 分 布 式 SOM 系统 
2.2 系统 工作 流程 

引入 的 DSOM 系统 设计 有 四 个 主要 过 程 : 

a) 初始 化 。 位 于 应 用 层 的 DSOM 控制 器 将 现成 的 数据 集 
发 送 给 集成 了 DSOM 扩展 包 的 交换 机 。 在 每 个 交换 机 上 , 使 用 
从 控制 器 接收 到 的 数据 集 来 训练 DSOM 映射 。 

b) 合并 DSOM。 此 阶段 负责 在 预定 时 间 内 合并 DSOM。 -一 


OpenFlow 
通道 


OpenFlow 
管理 代理 


”DSOM 控制 器 从 OpenFlow 交换 机 收集 DSOM 映射 ， 生 成 合并 图 2 DSOM 交换 机 层 
的 SOM 映射 ， 表 示 为 让 更 详细 地 了 解 特征 提取 器 , 以 了 解 在 DSOM 映射 的 输入 
es 中 使 用 了 多 少 特征 。 对 于 每 种 关 型 的 网 络 流量 ， 这 些 特征 可 以 
| (8) 。 是 多 样 的 ， 但 是 ， 正 如 前 文 所 述 ， 从 SDN 角度 考虑 普通 的 泛 洪 
全 攻击 ， 并 将 其 分 为 丙种 主要 类 型 ， 带 宽 耗 尽 攻 击 和 资源 耗 尽 攻 


其 中 ，Zy; 是 第 j 个 DSOM 的 训练 输入 样本 总 数 ，MapDSOM， ” 击 。 因 此 ， 本 文 工 作 主 要 集中 在 两 种 类 型 的 泛 洪 攻击 ， 的 方法 
是 第 j 个 DSOM 的 映射 。 是 在 预定 的 时 间 内 观察 每 个 用 户 。DSOM 映射 与 单个 SOM 执 
c) 更 新 。DSOM 控制 器 将 合并 的 SOM 映射 发 送 到 所 有 的 。” 行 相同 的 操作 。 它 确定 哪些 用 户 是 正常 的 用 户 哪些 用 户 是 异常 


LI 


= OpenFlow 交换 机 。 合 并 的 SOM 映射 蔡 换 DSOM ,映射 ， 以 在” ”的 用 户 。 为 了 作出 最 后 的 决定 , 将 KK- 均值 聚 类 算法 应 用 到 系统 
© 交换 机 上 继续 分 类 过 程 。 中 , 将 n 个 模式 划分 为 个 聚 类 ,在 攻击 用 户 被 明确 定义 之 后 ， 


d) 分类。 DSOM ;根据 他 们 的 神经 元 对 输入 进行 计算 并 给 。 DsOM 映射 将 用 户 信息 发 送 到 DSOM 交换 机 代理 ， 然 后 这 个 


浊 ， 


出 结果 ， 然 后 将 这 些 结果 发 送 到 DSOM 控制 器 作 进一步 的 决 ” ”代理 通过 OpenFlow 通道 将 这 些 数据 传送 到 快速 策略 实施 和 
定 。 DSOM 控制 器 。 在 交换 机 上 放置 快速 策略 实施 模块 的 目的 是 ， 
2.3 DSOM 交换 机 层 通过 在 流 表 中 设置 直接 的 规则 来 对 攻击 流量 进行 快速 反应 ， 而 


在 交换 机 层 ， 为 OpenFlow 交换 机 添加 了 一 些 附加 模块 ， 位 于 DSOM 控制 器 中 的 策略 检查 模块 则 负责 验证 规则 , 并 且 如 
称 为 DSOM 扩展 模块 : 流 收集 器 、 特 征 提取 器 、 训 练 数 据 库 、 ，” 果 需要 的 话 它 可 以 覆盖 规则 。 

DSOM 映射 快速 策略 实施 和 DSOM 交换 机 代理 。 图 2 显示 了 

这 些 模块 是 如 何 连接 的 ， 以 及 如 何 与 OpenFlow 交换 机 的 默认 

模块 一 起 工作 .DSOM 交换 机 代理 充当 本 地 交换 机 层 DSOM 系 ”3.1 数据 集 和 攻击 模拟 器 

统 的 核心 ,并 控制 DSOM 映射 过 程 的 训练 和 更 新 , 将 分 类 结果 ”3.1.1 训练 和 测试 数据 集 

发 送 到 快速 策略 实施 和 DSOM 控制 器 。 从 CAIDAUI、NSL-KDD04 和 DARPA05 这 三 个 数据 
在 初始 化 步骤 中 , 从 DSOM 控制 器 发 送 的 训练 数据 集 通 分 析 和 构建 了 一 套 SOM 训练 样本 和 测试 样本 。 这 些 数据 集 的 
OpenFlow 交换 机 的 OpenFlow 通道 到 达 DSOM 交换 机 代理 。 简短 描述 总 结 如 下 : 
然后 转发 到 训练 数据 库 , 并 且 成 为 DSOM 映射 的 训练 输入 。 CAIDA 数据 集 可 用 于 Web、FTP、Ping 等 多 种 不 同类 型 流 
训练 过 程 完成 后 , DSOM 交换 机 代理 向 DSOM 映射 特征 提取 ” 量 的 混合 研究 。 从 表 1 的 描述 来 看 , 通常 情况 下 , TCP 和 ICMP 
器 以 及 流 收 集 器 发 送 启动 命令 ， 以 启动 这 些 模块 。 如 该 方案 的 ”协议 构成 网 络 流量 的 比例 最 高 。 


3 实验 


一 


详 


I 


汪 海 涛 ， 等 : 


录用 定稿 
表 1 以 字 节 为 单位 统计 的 CAIDA 数据 集 
流量 状态 TCP (%) ICMP (%) 其 他 (%) 
正常 88.45 6.0 5.55 
攻击 型 7.58 91.25 1.17 


对 于 NSL-KDD 数据 集 ， 只 研究 DoS 攻击 。 因 此 ， 只 考虑 
使 用 Dog 样本 来 训练 和 测试 所 提出 的 系统 ， 如 表 2 所 示 。 


表 2 NSL-KDD 数据 集中 的 Dos 攻击 


C 胃 十 
分 布 式 SOM 结合 K- 均 值 聚 类 的 软件 定义 网 络 泛 洪 攻击 检测 方法 


得 的 效果 ,建立 了 如 图 3 所 示 的 系统 ,并 进行 了 两 个 测试 实例 : 


单个 SOM 和 DSOM 系统 。 
实现 了 一 个 SOM 模块 ， 其 中 


在 第 一 个 测 


控制 器 包 


试 场景 中 ， 在 控制 器 中 


含 四 个 功能 ， 流 量 收集 


器 、 特 征 提取 器 、SOM 了 映射、 策略 实施 。 同 时 ， 在 所 提出 的 系 


统 中 , 只 将 DSOM 控制 


器 模块 作为 SDN 


其 他 模块 在 交换 机 中 实现 。 古 
个 样本 的 同一 个 数 拉 


Dos 攻击 类 型 训练 模式 测试 模式 特征 数量 


back 
land 


neptune 


45927 7458 41 
pod 


smurf 


teardrop 


从 三 个 数据 集 的 pcap 文件 


T 


中 提取 并 随机 选择 样本 (包括 正 


T 


常 和 攻击 模式 ) 进行 测试 。 
3.1.2 攻击 模拟 器 


利 ) 


BoNeSi 进行 测试 ，BoNeSi 不 仅 可 以 模拟 僵尸 网 络 的 


流量 , 还 可 以 通过 定义 的 僵尸 网 络 向 目标 网 络 或 指定 的 卫 地 址 


生成 TCP、ICMP 或 UDP 泛 洪 攻击 。 


3.2 SDN 中 的 系统 设置 

实验 测试 的 网 络 拓 扑 连接 如 图 3 所 示 ， 使 用 一 个 控制 器 
(CController)、 四 个 与 DSOM 模块 集成 的 OpenvSwitch (DSOM 
OpenvSwitch)、 一 个 网 络 服务 器 以 及 三 个 主机 (hl，h2，h3， 
h4) 作为 流量 发 生 器 。 表 3 给 出 了 DSOM 映射 的 详细 参数 。 另 


外 ， 由 于 大 部 分 用 户 的 访问 是 正常 、 合 法 的 ， 本 文 设 置 聚 类 中 


心 的 数目 


为 4， 以 便 构成 正常 用 户 的 集合 。 


Controller 


名 一 名 
hl DSOMI ~ DSOM2 h2 
OpenvSwitch ~ OpenvSwitch 
中 一同 一生 
h3 DSOM3 DSOM4 h4 
OpenvSwitch OpenvSwitch 
图 3 DSOM 实现 的 拓扑 结构 
表 3 SOM 映射 参数 
参数 值 
半径 (宽度 + 高 度 ) /2 
学 习 速率 0.1 
神经 元 数量 400，900，1600 
输入 维度 6 
输出 维度 2 


3.3 系统 测试 


3.3.1 性 


能 瓶颈 测试 


为 了 评估 提出 的 系统 在 性 能 瓶颈 方面 与 单个 SOM 相 比 取 


i 
上 过 户 


控制 器 中 的 应 用 运行 ， 


个 实例 中 , 使 用 了 总 共 12000 
昌 集 来 训练 SOM 映射 ， 其 中 从 每 个 数据 集 


随机 提取 了 4000 个 模式 。 然 后 使 用 BoNeSi 工具 生成 两 个 流量 
级 别 〈50 Mbps 和 100 Mbps) 来 攻击 网 络 服务 器 ， 并 在 两 种 情 
况 下 测量 SDN 控制 器 的 CPU 利用 率 。 
3.3.2 SOM 性 能 测试 


对 于 介绍 的 解决 方案 


SOM 机 制 具有 相同 的 性 能 : 


单一 SOME: 


个 单一 的 SOM， 四 个 与 第 3.3.1 节 中 描述 的 
相同 模块 。 控 制 器 从 OpenvSwitch 收 


击 用 户 。 如 果 检 测 到 异常 用 户 


OpenvSwitch 。 
DSOM 1: 


] : 


集 流量 信息 ， 然 后 检测 攻 
， 策 略 实施 会 立即 将 规则 应 用 于 


Ph SOM 映射 的 性 能 检测 ， 进 行 了 以 
下 设置 实例 来 评估 DSOM 系统 , 并 证 明 所 提出 的 方法 与 传统 的 


1: 这 个 情况 是 在 提出 的 DSOM 系统 中 进行 


的 ， 初 始 化 过 程 中 训练 数据 集 的 比例 是 


DSOM 1: 2: 3: 这 利 
过 程 中 训练 数据 集 的 比例 为 1: 

在 这 个 实验 中 ,分别 对 每 种 情况 进 
如 表 4 所 示 , SOM 映 身 
(CAIDA，NSL-KDD 和 DARPA) 上 进行 。 然 后 ， 通 过 来 自 训 
FE 执行 测试 程序 ， 使 用 来 自 BoNeSi 
进行 测试 。 


练 数据 集 的 5 次 交叉 验 记 
DDoS 模拟 器 的 流 和 


时 初始 化 和 训 


2 3 


ls lss 


情况 与 前 一 情况 相同 ， 只 是 初始 化 


行 以 下 测试 : 
练 过 程 在 单独 的 数据 集 


通过 随机 合并 三 个 相 


同 的 数 


SOM 映射 进行 初始 化 和 训练 。 并且, 测 


对 SOM 映射 


行 了 多 次 测试 过 程 。 


居 集 而 产生 的 混合 数据 集 对 


试 过 程 也 由 5 次 交叉 验 


证 以 及 BoNeSi DDoS 模拟 器 执行 。 
中 不 同 值 的 神经 元 数 


二 


: 400,900 和 1600, 进 


表 4 用 于 SOM 检测 性 能 测试 的 训练 和 测试 样本 
实例 单个 SOM DSOM 1:1:1 DSOM 1:2:3 
初始 化 4000 4000:4000:4000 4000:4000:4000 
训练 6000 2000:2000:2000 1000:2000:3000 
CAIDA 
30000 30000 30000 
数据 集 
NSL-KDD 
30000 30000 30000 
数据 集 
DARPA 
测试 30000 30000 30000 
数据 集 
混合 
30000 30000 30000 
数据 集 
BoNeSi 
6000 6000 6000 
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pe 


4 ”性 能 评估 


4.1 处 理性 能 瓶颈 

图 4 所 示 为 SDN 控制 器 的 CPU 利用 率 , 从 图 中 可 以 看 出 ， 
在 测试 实例 之 间 存 在 显著 差异 ， 单 个 SOM 机 制 总 是 消耗 SDN 
控制 器 更 多 CPU 资源 ， 而 DSOM 系统 则 使 控制 器 系统 消耗 的 
CPU 资源 处 于 稳定 水 平 。 在 产生 流量 是 50 Mbps 的 实例 中 ， 在 
攻击 发 起 后 仅 12 秒 和 33 秒 ，CPU 利用 率 的 值 就 达到 40% 和 
60%。 同时, DSOM 解决 方案 在 所 有 测试 时 间 内 仅 占 用 约 23 % 
的 CPU 资源 。 在 100Mbps 的 情况 下 也 可 以 看 出 同样 的 差别 : 
单个 SOM 方案 在 仅仅 10 秒 之 后 SDN 控制 器 的 CPU 利用 率 就 
达到 了 60%， 并 且 在 测试 结束 之 前 一 直 在 这 个 值 上 下 波动 。 相 
比 之 下 ，DSOM 解决 方案 在 CPU 的 占 | 直 保 持 较 低 水 


方面 


0—DSOM-S0Mbps 
4DSOM-100Mbps 
| -SingleSOM-S0Mbps 
-下 -SingleSOM-100Mbps 


SDN 控 制 器 的 CPU 消耗 
必 


图 4 _SDN 控制 器 的 CPU 消耗 
从 以 上 结果 可 以 看 出 ，DSOM 系统 是 完全 胜 过 单一 SOM 
方案 的 很 好 的 一 个 解决 方案 。 在 单个 SOM 情况 下 ， 为 了 获取 
流量 信息 ， 控 制 器 必须 频繁 地 向 交换 机 发 送信 息 ， 然 后 将 其 转 
发 到 下 一 个 模块 ， 以 便 进一步 处 理 。 而 且 ， 同 时 处 理 来 自 所 有 
边缘 交换 机 的 流量 信息 对 于 模块 来 说 是 一 项 繁重 的 工作 。 而 
DSOM 系统 将 流量 处 理 任 务 委派 给 边缘 交换 机 以 减少 工作 量 ， 
仅 在 策略 检查 时 处 理 少量 信息 。 另 外 ， 每 个 边缘 交换 机 只 处 理 
从 外 部 网 络 进 入 其 端口 的 流量 。 因 此 , 与 单个 SOM 方案 相 比 ， 
DSOM 交换 机 代理 的 压力 并 不 大 。 
4.2 SOM 性 能 评估 
在 评估 DSOM 方法 的 性 能 之 前 ， 本 文 作出 如 下 定义 : Tp 
表示 攻击 用 户 被 分 类 为 攻击 用 户 的 概率 ，7X 表示 正常 用 户 被 


ChinaX iv 合 作 有 
分 布 式 SOM 结合 区 -均值 聚 类 的 软件 定义 网 络 泛 ; 


i 


汪 海 涛 ， 等 : 


聚 类 算法 来 区 分 正常 用 户 和 异常 用 户 ， 并 使 用 倍 交 叉 验 证 技 
术 来 评估 数据 集 本 身 的 检测 率 。 然 而 ， 即 使 使 用 攻击 工具 来 产 


Si 


生 流 量 ， 由 于 训练 样本 数量 很 大 ， 训 练 好 的 SOM 也 可 以 很 容 
易 地 检测 到 攻击 用 户 。 此外, 这些 实验 还 表明 ,如 果 SOM 映射 
有 具 有 更 多 的 神经 元 ， 这 意味 着 检测 性 能 更 高 ， 并 且 所 提出 的 
DSOM 和 单个 SOM 系统 相 比 ， 没 有 太 大 差异 。 
400 个 神经 单元 
98.2 
98.0 
97.8 
全 97.6 
> 97.4 
3 97,2 
97.0 
96.8 
96.6 
CAIDA NSLKDD DARPA 
SingleSOM DSOM 1:1:1 DSOM 1:2:3 
900 个 神经 单元 
98.5 
5 97.5 
- | | | | | | | 
CAIDA NSL-KDD DARPA 泥 台 
mSingleSOM 加 DSOM 1:1:1 DSOM 1:2:3 
1600 个 神经 单元 
99,4 
9, CAIDA NSL-KDD DARPA 汇 谷 
mSingleSOM 加 DSOM 1:1:1 DSOM 1:2:3 


在 三 种 不 同 神经 元 数量 、 四 个 不 同 数据 集 情况 下 ，SOM 映射 的 


4.2.2 准确 性 
准确 度 09 即 SOM 映射 作出 决定 的 准确 程度 , 计算 公式 为 : 
TP+TN 
TP+TIN+FP+FN 
图 6 显示 了 对 不 同 的 四 个 数据 集 ， 在 三 种 情况 下 SOM 映 
射 的 准确 度 ， 三 个 实验 的 准确 性 均 比 较 高 。 在 400 个 神经 元 的 


(10) 


Accuracy = 


认为 是 正常 用 户 的 概率 ， pp 表示 异常 用 户 被 认为 是 正常 用 户 


的 概率 ， FN 表示 正常 用 户 被 认定 为 攻击 用 户 的 概率 。 
4.2.1 检测 率 
为 了 评估 所 提出 的 DSOM 系统 的 效率 , 考虑 了 一 个 关键 的 


标准 ， 即 检测 率 。 检 测 率 计算 如 下 : 
SE (9) 

7P+FN 
图 5 显示 了 对 不 同 的 四 个 数据 集 ， 在 三 种 情况 下 SOM 映 


射 的 检测 率 。 从 图 中 可 以 看 出 ， 在 相同 数量 的 神经 元 下 ， 三 种 
情况 在 所 有 四 个 数据 集中 只 有 轻微 的 差异 。 这 是 因为 使 用 均值 


UD 


情况 下 , 最 低 的 准确 率 约 为 96.9%，, 而 在 900 和 1600 个 神经 元 
的 情况 下 ， 它 的 准确 率 都 在 97% 以 上 。 原 因 在 于 ， 当 SOM 映 
射 的 学 习 样 本 数目 增加 时 ,对 用 户 作 出 决定 的 准确 性 也 更 准确 。 
而 且 ， 当 SOM 映射 达到 可 以 作出 完全 准确 决定 的 阔 值 时 ， 神 
经 元 的 数量 对 准确 性 的 影响 不 大 。 这 就 是 为 什么 在 精度 方面 这 
些 测试 之 间 只 有 微小 的 差别 。 
4.2.3 系统 开销 

还 通过 测量 两 个 系统 的 处 理 时 间 和 分 类 时 间 ， 来 评估 
DSOM 机 制 和 单个 SOM 的 性 能 。 对 于 DSOM 系统 ， 假 设 通 过 
数据 包 连 接 传输 数据 所 需 的 时 间 仅 为 几 毫 秒 ， 则 处 理 时 间 主 要 
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chinaXiv 


过 两 个 过 程 的 和 来 计算 : 
DSOM 映射 , 它 占用 了 最 多 的 
的 合并 时 间 。 同时 


¥ 97.4 
972 
: | 由 1 
96.8 
96.6 
96.4 
962 


NSL-KD| 


mSinglesSOM gDS 


900 个 


CAIDA NSL-KDE 


mSinglesOM @DS 


1600 个 人 


区 1 | 
96.5 


CAIDA 


msinglesOM @ 


单个 SOM 的 处 理 
输入 集训 练 DSOM 和 单个 SOM 映射 ， 


第 一 个 是 在 OpenvSwitch 上 训练 
时 间 , 第 二 是 在 DSOM 控制 器 上 
时 间 只 是 其 训练 时 间 。 用 
如 表 5 所 示 。 


M 1:1:1 DSOM 1:2:3 


神经 单元 


DARPA 


M 1:1:1 SOM 1:2:3 


申 经 单元 


DARPA 


SOM 1:1:1 DSOM 1:2:3 


图 6 在 三 种 不 同 神经 元 数量 、 


个 不 同 数据 集 情况 下 ，SOM 映射 的 


准确 性 


表 5 中 的 结果 表明 ， 如 果 在 SOM 映射 中 使 用 更 多 数量 的 


神经 元 ， 则 DSOM 系统 的 处 
OpenvSwitch 的 DSOM 使 用 
SOM 总 是 需要 更 大 的 输入 数 扩 


理 时间 比 单个 SOM 更 快 。 因 为 
较 小 的 数据 集 进行 训练 ， 而 单个 


三 种 情况 大 致 相等 ， 并 且 与 
过 对 控 


经 元 数量 成 正比 增加 。 这 可 以 通 


制 器 和 OpenvSwitch 使 用 相同 的 配置 来 解释 ， 因 此 ， 这 


三 种 情况 下 的 CPU 处 理 时 间 没有 太 大 的 差别 。 
表 5 处 理 时 间 和 分 类 时 间 


神经 元 数量 实例 处 理 (s) 分 类 (ms) 

单个 SOM 10.14 0.956 

400 DSOM 1:1:1 9.16 0.932 
DSOM 1:2:3 9.81 0.895 

单个 SOM 25.95 1.82 

900 DSOM 1:1:1 15.71 1.81 
DSOM 1:2:3 18.04 1.70 

单个 SOM 37.77 4.55 

1600 DSOM 1:1:1 23.99 4.03 
DSOM 1:2:3 28.72 4.45 


根据 以 上 实验 结果 ， 


可 以 评估 软件 定义 网 络 中 DSOM 系统 


居 集 来 训练 其 映射 。 关 于 分 类 时 间 ， 


汪 海 涛 ， 


的 性 能 ， 


aXiv 合 作 期 二 


义 网 络 全 信 尖 | 方法 


hinaX iv 
等 : 分 布 式 SOM 结合 K- 


且 与 单个 SOM 进行 比较 。 首 先 , 在 处 理 


性 能 瓶颈 问 


题 和 方面 ， DSOM 系统 是 一 个 很 好 的 解决 方案 ， 完 全 胜 过 单一 


SOM 方案 。 而 且 ， 
面 都 表现 出 优异 的 性 
所 提 
网 络 中 的 DSOM 系统 和 
的 瓶颈 问题 


5 


分 析 ， 处 
而 导致 的 瓶颈 问题 。 实 验 结 
文 所 提出 的 方法 完全 胜 过 
示 了 的 机 第 


这 两 个 系统 对 异常 流量 的 检测 率 和 准确 率 方 
能 。 在 使 系统 准备 好 分 类 过 程 的 开销 方面 
单个 SOM 要 少 。 总 的 来 说 ， 软 件 定义 

E 够 有 效 地 解决 大 型 网 络 中 泛 洪 攻 击 下 
有 一 定 的 优势 。 
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x 提出 了 一 种 K- 均 值 聚 类 算法 和 分 布 式 自 组 织 映 射 系 
分 布 式 系统 而 不 是 集中 式 的 系统 对 网 络 数据 进行 
里 由 于 大 型 软件 定义 网 络 中 上 层 泛 洪 攻 击 引 起 包 

吉 果 表明 ， 在 处 理性 能 瓶颈 方面 ， 本 
传统 的 方法 。 此 外 ， 实 验 结果 不 但 显 
| 与 单个 SOM 系统 的 性 能 相同 ， 而 且 表 明了 DSOM 


区 
聚合 


系统 的 开销 要 优 于 单个 SOM。 
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